• 内部監査は、要求事項への適合性とISMSの有効性を評価するもの
  • ISMSの内部監査では、情報セキュリティに関するルールの適切性や運用状況などを確認することが大切

ISO27001 は外部への情報流出リスクを対策し、安全に情報を管理するための規定です。認証を受けると、顧客などの利害関係者 に情報管理ができていることの証明になります。

このISO 27001の規定を理解するには、まずISMS とはどんなものなのかを知っておくことが必要です。この記事では、ISO27001とISMSの違いをはじめ、ISO27001の内部監査の目的とポイント、具体的な内部監査の手順についてご紹介します。

ISO27001(ISMS)とは

そもそも、ISO27001やISMSとはどのようなものでしょうか。ここで基本的な知識を解説します。

ISO27001とは

ISO27001とは、情報セキュリティマネジメントに関する国際規格です。
組織の保有している情報資産を、不正アクセスやサイバー攻撃などのリスクから守ることを目指しています。

セキュリティというと、国内ではJISが発行しているPマーク(プライバシーマーク)がよく知られていますが、Pマークは日本国内でのみ使用されている規格です。

関連記事:【初心者向け】ISMSとは?規格やISOとの違いを徹底解説

ISMSとは

ISMSとは、情報セキュリティにかかわるマネジメントシステム です。
ISMSでは、「機密性 」に加え、管理している情報が書き換えられたり削除されたりすること防ぐ「完全性 」と、情報が必要な際すぐ使えるようにする「可用性」の3要素を維持することが要求事項 に記載されています。

ISO27001とISMS

ISO27001は、ISMSで重要とされる3要素を確保するための具体的な管理方法を明らかにしています。

規定には、ISMSの仕組みをどのように立ち上げ、維持し、継続的な改善を行うための要求事項・管理策のほか、情報セキュリティのリスクアセスメントやリスクへの対処方法が含まれています。

万が一情報が漏えいした場合、企業や顧客は大きな被害を受けるリスクがあります。そのため、業種や業態によらず、ISO27001認証を受けることは全ての企業に大きなメリットといえるでしょう。

関連記事:ISO27001の取得企業数は?必要性は?取得が多い業種一覧
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001(ISMS)の内部監査の目的

ISO27001は、資産をリスクから守ることを目的としています。そのため、ISMSについてPDCAのサイクルを回していくことが重視されています。情報の漏えいや改ざんを防ぐには、システム的な防止策のほか社員の教育も欠かせません。

そこで、内部監査部門を設け、定期的な内部監査員による監査が必要になるのです。

また、情報マネジメントシステムの詳細やリーダーが持つべき役割や責任など、情報セキュリティ計画を推進していくための計画の立て方や運用方法をしっかり規定することが重要です。さらに、社員に求められる知識やコミュニケーション方法、マネジメントレビューや監査といった評価手法や業務の改善に関わる内容も盛り込んでいきましょう。

ISO27001の内部監査を行う際は、管理すると決めた各情報資産が確実に守られているか確認することが重要です。また、デバイスや通信手段の多様化など、新たに情報セキュリティを脅かす原因になる要素がないか確認するよい機会になるでしょう。さらに、社内のメンバーが情報セキュリティの目的を十分に理解してルールを守っているか、評価することも必要です。

ISO27001(ISMS)の内部監査が失敗する要因


内部監査がうまくいかないという企業は少なくありません。ここでは、ISO27001の内部監査が失敗する要因を解説します。

適切な事前準備ができていない

内部監査が弱まる要因の一つに、適切な事前準備ができていないことが挙げられます。内部監査の有効性を確保するためには、現在の問題点を早期発見することが必要です。しかし、準備ができていない、または適切でない場合には、チェック項目をただ確認するだけの儀式のような監査になってしまう可能性があります。

規格の要求事項や元々考えていた質問をただ順番通りに確認するだけでは、組織の現状に潜んでいる問題点を見つけることは難しいでしょう。
そのため、誰に、どこで、どのような質問をすると、内部監査の目的を満たしつつ、現場の問題点をくみ取ることができるのかをしっかりと考えることが必要です。

関連マンガ:ISOって意味あるの!?内部監査員の悩み…形骸化した運用をスリム化!

社内における関係悪化を懸念する

次に、社内における関係悪化を懸念することで、監査の有効性が弱まる可能性があります。それは、内部監査を行う従業員は、通常業務と内部監査人とを兼務していることが多くあるためです。

内部監査をされる従業員と日ごろから通常業務において接している場合、通常業務をスムーズに行いたいという心理から、今後の関係性を悪化させないようにと監査を甘くしてしまう傾向があるのです。例えば、ルールやマニュアルに対する不適切な行動があったとしても、適当な注意のみで済ませてしまうといったことです。

こうした関係性にあっても、監査の目的を達成できるように、内部監査人の教育を徹底することが必要です。

既存ルールを変更することへの抵抗感

また、既存ルールを変更することに対する抵抗感が、監査の有効性を弱める可能性があります。
いくら改善のためとはいえ、既存ルールを変更し、新しいルールを運用していくことに抵抗をもつ従業員もいるでしょう。また、内部監査人と実際に運用している部門との間に軋轢が生まれてしまったり、新しいルールが定着するまでの手間が億劫になってしまったりする可能性が考えられます。

こうした抵抗を減らすためには、新しいルールを実施することでどのような改善が見込めるのかを理解してもらう努力を行うことが必要です。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001(ISMS)内部監査を成功させるための注意点

ISO27001の内部監査でやるべきことは、適合性や有効性をチェックし、より良い運用を継続する気づきを得ることです。

そこで、まずは情報セキュリティマネジメントシステムに必要な機密性、完全性、可用性がビジネスのプロセスやマネジメント構造に組み込まれているか確かめましょう。
体制がしっかりしていれば、それだけ業務に無駄がなくなり、組織を強化することにつながります。特に最近はISO27001の取得が取引条件となっている企業が増えてきているため、このような適合性の確認は大前提です。

また、社内的にも情報セキュリティに関するリスクを減らすためには、各リーダーの役割や権限を明確化し、それぞれの社員の力量が適切か判断する必要があります。

たとえば、いくら強固なファイアーウォールを設定して技術的な歯止めをかけていたとしても、社内のメンバーがパソコンを社外に持ち出せる状況であればほとんど効果がありません。
このような状況では有効性が高いとはいえず、社員の意識やモラルの向上が課題になります。

ISO27001(ISMS)内部監査の進め方

それでは、具体的にISO27001の内部監査の進め方を解説します。

1.内部監査の準備をする

ISO27001の内部監査は、管理責任者が作成した計画に準じて行われるのが一般的です。準備段階では、以下の内容を行います。

  • 最新の規格や顧客要求を整理する
  • チェックリストの作成・更新
  • 内部監査の計画書の作成

特にデバイスや通信方法に新しいものが加わった場合は、それまでのチェックを継続してもセキュリティに穴が開いている可能性があります。内部監査の前に、準備物が最新の情報になっているか確認しましょう。

チェックリストの作成については、以下の記事をご覧ください。

関連記事:【サンプルあり】内部監査チェックリストの作成!確認しておきたいポイントを解説

2.内部監査を実施する

内部監査は、「有効性」「適合性」の2つの観点から行います。具体的には、下記のようなポイントを評価していきます。

  • 適切に情報資産が管理・保護されているか文書や運用の確認
  • 新たに情報セキュリティを脅かす可能性がある要素はないか
  • 社内のメンバーが情報セキュリティの必要性を理解してルールを守っているか

チェックリストをただ埋めるだけの監査ではなく、マネジメントシステムの実情に潜む課題を明らかにすることを心がけましょう。力量評価表の確認だけでなく、実際の担当者がどのように業務に当たっているか確認することも有効です。

3.監査内容を報告する

内部監査ののち、その内容を内部監査報告書にまとめてトップマネジメントに報告します。
もし監査内で課題となる内容が見つかれば、PDCAの考え方に基づきマネジメントレビューする必要があります。監査上不適合とした内容は、是正指示書を作成し、担当者など関連メンバーで対策を行った後、部門責任者や事務局で有効性の検証を行い、是正案件をクローズさせましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

ISO27001は情報を安全に守るため、ISMSをどのような方法で実施すべきかを示した規定です。

内部監査を行う際は、情報管理のマネジメントシステムの核となる機密性、完全性、可用性がどの程度機能しているかなど、社内のメンバーの情報セキュリティ意識を確認しましょう。

また、各規定が業務上有効に働いているか調査することも必要です。不適合箇所を継続的に改善していくことで、企業の価値や国内外での競争力向上が期待できます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ